nicht angemeldet
ihr seid ja voll blöde
ihr habt immer noch den apache 1.3.26 auf eurem webserver ihr solltet doch wissen dass der eine sicherheitslücke hat und durch den 1.3.27 ersetzt werden sollte!!!!!!
-
ihr habt immer noch den apache 1.3.26 auf eurem webserver ihr solltet doch wissen dass der eine sicherheitslücke hat und durch den 1.3.27 ersetzt werden sollte!!!!!!
Hi,
wo ist denn die Lücke?
Chris
-
Hallo,
ihr habt immer noch den apache 1.3.26 auf eurem webserver ihr solltet doch wissen dass der
eine sicherheitslücke hat und durch den 1.3.27 ersetzt werden sollte!!!!!!Dann wollma doch mal sehen:
- CAN-2002-0839 (cve.mitre.org): A vulnerability exists in all versions of Apache prior to
1.3.27 on platforms using System V shared memory based scoreboards.
Wir haben kein SystemV.
- CAN-2002-0840 (cve.mitre.org): Apache is susceptible to a cross site scripting vulnerability
in the default 404 page of any web server hosted on a domain that allows wildcard DNS
lookups.
Wir benutzen die Default-404-Seiten nicht.
- CAN-2002-0843 (cve.mitre.org): There were some possible overflows in ab.c which could be
exploited by a malicious server. Note that this vulnerability is not in Apache itself, but
rather one of the support programs bundled with Apache.
Betrifft 'ab', nicht den Apachen. Schaumer mal weiter:
- The new ErrorHeader directive has been added.
Brauchen wir nicht.
- Configuration file globbing can now use simple pattern matching.
Brauchen wir nicht.
- The protocol version (eg: HTTP/1.1) in the request line parsing is now case insensitive.
Irrelevant, hat keinerlei Prioritaet.
- ap_snprintf() can now distinguish between an output which was truncated, and an output
which exactly filled the buffer.
Irrelevant fuer uns.
- Add ProtocolReqCheck directive, which determines if Apache will check for a valid
protocol string in the request (eg: HTTP/1.1) and return HTTP_BAD_REQUEST if not valid.
Versions of Apache prior to 1.3.26 would silently ignore bad protocol strings, but 1.3.26
included a more strict check. This makes it runtime configurable.
Irrelevant.
- Added support for Berkeley-DB/4.x to mod_auth_db.
Benutzen wir nicht.
- httpd -V will now also print out the compile time defined HARD_SERVER_LIMIT value.
Irrelevant.
- Support Caldera OpenUNIX 8.
Haben wir nicht.
- Use SysV semaphores by default on OpenBSD.
Haben wir nicht.
- Implemented file locking in mod_rewrite for the NetWare CLib platform.
Haben wir nicht.
- mod_proxy fixes:
Wir benutzen kein mod_proxy.
- In 1.3.26, a null or all blank Content-Length field would be triggered as an error;
previous versions would silently ignore this and assume 0. 1.3.27 restores this previous
behavior.
Irrelevant.
- Win32: Fix one byte buffer overflow in ap_get_win32_interpreter when a CGI script's #!
line does not contain a \r or \n (i.e. a line feed character) in the first 1023 bytes. The
overflow is always a '\0' (string termination) character.
Wir haben kein Win32.
Fazit: ein Update waere ueberfluessiger Arbeitsaufwand.
Kopfschuettelnde Gruesse,
CK-
Sup!
Ja, gib' ihm, der blöde Spinner hat keine Ahnung von grundlegenden Sachen wie dem Unterschied zwischen SystemV und BSD... tz tz tz...
Gruesse,
Bio
-
Hoi,
Ja, gib' ihm, der blöde Spinner hat keine Ahnung von grundlegenden Sachen wie dem
Unterschied zwischen SystemV und BSD... tz tz tz...Wie kommst du jetzt auf den Trichter?
Was ich wollte war mal exemplarisch aufzufuehren, wie ich zu untersuchen zu versuche, ob ein
Update sinnvoll/noetig ist oder nicht.Gruesse,
CK-
Hallo,
recht gemacht, fand ich.
...und außerdem war das von Dir mit einer mustergültigen Ruhe auf "so ein" Ausgangsposting vorgebracht. Liest man das Ausgangsposting mal "freundlich", wollte der Herr uns ja gerade sagen, daß er genau wußte, wovon er spricht. Weit gefehlt" sprach da Herr Kruse, und ich hatte, ohne natürlich die Spur einer Ahnung von der Materie, heute morgen was zu schmunzeln.
Danke dafür ,-)))
Chräcker
-
Gugucks Chräcker,
und ich hatte, ohne natürlich die Spur einer Ahnung von der Materie, heute morgen was zu schmunzeln.
Siehste, so gehts mir auch. Es geht doch nix über das Forum als Morgenzeitung *gg*
liebe gruesse, uschi
-
-
-
Hallo,
Ja, gib' ihm, der blöde Spinner hat keine Ahnung von grundlegenden Sachen wie dem Unterschied zwischen SystemV und BSD... tz tz tz...
Aber du hättest doch die Güte, das zu erklären?
Noch eine andere Frage.
In der "Changelog" unter http://www.apache.org/dist/httpd/CHANGES_1.3 sind noch ein paar andere Sachen aufgelistet, was ist damit? Ist das nicht wichtig oder was? Bitte um Erklärung.Gruß,
Bernd-
Sup!
Tjö, ich weiss nur, daß BSD ein ganz anderes Boot-Konzept hat als SystemV, und daß SystemV eine kommerzielle Version von Unix von AT&T war und aus System III hervorgegangen ist, und daß BSD von der Berkeley University kam, auf deren letztem offiziellen Release 4.2 Free-, Net- und Open-BSD basieren.
System 5 hat auch andere Systemcalls, BSD hat die durchgehendere Unterstützung für POSIX-Standards. In System 5 Release 4 wurden viele der BSD-Befehle mit eingebaut, damit die Kompatibilität erhöht werden sollte; dennoch hat BSD einen ganzen Haufen Eigenheiten. Besonders u.a. beim Shared-Memory: http://www.acm.uiuc.edu/lug/presentations/shm/shm-5.htmlDen Rest musst Du Dir selbst anlesen. Auf jeden Fall ist BSD im Vergleich mit System5 wie Philipps- gegen Braun-Rasierer ;-)
Gruesse,
Bio
-
-
- CAN-2002-0839 (cve.mitre.org): A vulnerability exists in all versions of Apache prior to
-
Salve!
Chleudert den Purchen zu Poden!!!
Pilatus